Wanneer de hosting- en cloudprovider ondergronds gaat
Phishing, ransomware en cyberspionage. Alsof de cybercriminaliteit het enige bedrijf is dat ondanks de Covid-pandemie actiever is dan ooit.
Je kunt het ook zien als een echte – geheime – economie waarin hackers zich organiseren als “echte” bedrijven. Inclusief een financiële afdeling die voor de faciliteiten zorgt. Om nog maar te zwijgen van een afdeling klantcontact die getroffen organisaties ondersteunt bij het betalen van het losgeld.
Als het gaat om cybercriminaliteit, vormen hostingdiensten praktisch de ruggengraat van elk aspect van dit ‘bedrijfsmodel’. Deze infrastructuur beheert immers de command and control (c & c) servers zodat iedereen anoniem blijft. Hoe organiseren criminelen hun misbruikpraktijken zonder opgemerkt te worden? Want dat doen ze natuurlijk niet via de gebruikelijke hostingdiensten in de wereld. Het antwoord: ondergrondse hosting.
Wat is ondergrondse hosting?
“Deze clandestiene hostingproviders verkopen of verhuren de tools die cybercriminelen gebruiken om te werken”
Zie het als elke dienst die wordt geleverd om infrastructuur te ontvangen of te delen die criminele activiteiten uitvoert. Deze diensten omvatten de levering van infrastructuur, virtuele, gecompromitteerde en speciale servers, IP-adressen en domeinnamen, VPN’s en andere tools. Met andere woorden, deze heimelijke hostingproviders verkopen of verhuren de middelen die cybercriminelen gebruiken voor hun activiteiten. Denk aan c & c-infrastructuur, discussieforums en illegale marktplaatsen om materiaal en malwarecode te verhandelen.
Ondergrondse hosting in de praktijk
Het hosten van deze infrastructuur is een integraal onderdeel van cybercriminaliteit. Het verbindt immers alle (illegale) “business units” met elkaar. Botnets hebben hosting nodig om hun C&C-infrastructuur te kunnen leveren. De hackergroepen gebruiken deze hostingdiensten om hun communicatieplatforms te beheren. Het gebruik van de diensten is breed; ze gebruiken zelfs marketingtechnieken alsof ze een normale handelsorganisatie zijn.
Het kopen en verkopen van hostingdiensten kan via deze discussieforums dankzij speciale secties. Je zou kunnen denken dat deze forums alleen in het deep of dark web bestaan en dus niet geïndexeerd worden via de klassieke zoekmachine of alleen toegankelijk zijn via speciale software zoals Tor. Maar veel van deze criminele fora zijn te vinden op het populaire legale internet.
Er zijn ook “winkels” in het ondergrondse hosting-ecosysteem. Je kunt daar vrijwel alles kopen, van gestolen creditcardgegevens tot een hele afdeling met allerlei ondergrondse hostingdiensten. Dus servers, proxy’s, VPN’s en soms zelfs diensten om je te beschermen tegen ddos-aanvallen (!). Ook in deze economie zijn er winkels die zich bijvoorbeeld alleen specialiseren in dedicated servers of ddos-diensten.
Betalen met Bitcoin
“Uit onderzoek blijkt dat sommige resellers ook adverteren op geheime fora”
Er is een misvatting dat underground hosting volledig bestaat uit een netwerk van criminelen en cybercriminelen. Maar er zijn officiële hostingbedrijven met duizenden websites waar we dagelijks op surfen. Vaak werken ze ook samen met officiële resellers die over de nodige knowhow en expertise beschikken. Onderzoek toont aan dat sommige wederverkopers ook adverteren op geheime forums, vaak zonder medeweten van de legitieme hostingprovider die wordt vertegenwoordigd. Het is geen toeval dat veel gebruik wordt gemaakt van hostingproviders die anonieme betaalmethoden zoals Bitcoin accepteren.
Cybercrime levert veel geld op, vaak zonder al te veel risico’s. Het is dus geen verrassing dat deze zwarte markt voor hostingdiensten blijft groeien in zo’n ecosysteem. Kunnen we deze cybercriminaliteit een halt toeroepen door te laten zien hoe ondergrondse hosting wordt aangeprezen en verkocht? Nee jammer genoeg niet. Maar we kunnen het moeilijker maken door het contact met hun klanten te verbreken en hun kosten op te drijven.